Zum Inhalt

Permalink für diese Seite

Verwenden Sie immer den folgenden Permalink, um auf diese Seite zu verweisen. Der Link bleibt auch in zukünftigen Versionen dieser Hilfe unverändert.

https://docs.sophos.com/central/customer/help/de-de/index.html?contextId=IPS-alerts

Umgang mit IPS-Warnungen

Das Intrusion Prevention System (IPS) überwacht den Netzwerkverkehr und reagiert auf erkannte Bedrohungen.

Dadurch wird verhindert, dass ein Angreifer einen Exploit verwendet, um ein lokales Gerät zu übernehmen. Wir überwachen eingehenden und ausgehenden Datenfluss.

Sie können bestimmte Anwendungen oder bestimmten Netzwerkverkehr von der Prüfung ausschließen. Zum Beispiel können Sie spezifische Protokolle (wie HTTP) zulassen oder falsche IPS-Warnungen für eine Anwendung verhindern.

Gehen Sie dazu wie folgt vor:

  • Schließen Sie eine Datei oder einen Ordner auf einem Gerät aus. Dies schließt eine Anwendung von ausgehenden IPS-Inspektionen aus.
  • Schließen Sie Netzwerkverkehr mit einem Malicious Network Traffic Prevention (IPS) (Windows)-Ausschluss aus.

Weitere Informationen zu Ausschlüssen finden Sie unter Globale Ausschlüsse

Schließen Sie eine Anwendung auf einem lokalen Gerät aus

Gehen Sie wie folgt vor, um eine Anwendung von IPS-Warnungen (ausgehende Erkennungen) auszuschließen:

  1. Klicken Sie auf das Symbol „Globale Einstellungen“ Symbol „Globale Einstellungen“..
  2. Gehen Sie zu Schutz und Bereinigung > Zulassen & Blockieren und klicken Sie auf Globale Ausschlüsse.

  3. Klicken Sie auf Ausschluss hinzufügen.

    Das Dialogfeld Ausschluss hinzufügen wird angezeigt.

  4. Wählen Sie unter Ausschlusstyp die Option Datei oder Ordner (Windows).

  5. Geben Sie unter WERT den Pfad zu der ausführbaren Datei oder dem Ordner ein, den Sie ausschließen möchten.
  6. Geben Sie in Aktiv für an, dass der Ausschluss für Echtzeit-Scans gültig sein soll.
  7. Klicken Sie auf Hinzufügen.

Mehr Hilfe erhalten Sie unter Erkennung einer Anwendung unterbinden.

Netzwerkverkehr ausschließen

Hinweis

Diese Ausschlüsse bedeuten, dass IPS den Datenverkehr, der dem Ausschluss entspricht, nicht überwacht. Sie müssen Ihre Firewall separat konfigurieren.

So schließen Sie Netzwerkverkehr aus:

  1. Klicken Sie auf das Symbol „Globale Einstellungen“ Symbol „Globale Einstellungen“..
  2. Gehen Sie zu Schutz und Bereinigung > Zulassen & Blockieren und klicken Sie auf Globale Ausschlüsse.

  3. Klicken Sie auf Ausschluss hinzufügen.

    Das Dialogfeld Ausschluss hinzufügen wird angezeigt.

  4. Wählen Sie in Ausschlusstyp die Option Malicious Network Traffic Prevention (IPS) (Windows) aus.

  5. Verwenden Sie die folgenden Einstellungen, um festzulegen, welcher Datenverkehr ausgeschlossen werden soll:

    • Richtung: Eingehende oder ausgehende Verbindungen.
    • Remote-Adresse: Die Adresse eines anderen Computers, an den oder von dem Datenverkehr übertragen wird.
    • Remote-Port: Der Port, an den oder von dem Datenverkehr auf anderen Computern übertragen wird.
    • Lokaler Port: Der Port, an den oder von dem Datenverkehr auf dem lokalen Computer übertragen wird.

    Sie müssen mindestens eine der Adress- oder Port-Optionen festlegen.

  6. Klicken Sie auf Hinzufügen.

Die meisten TCP-Verbindungen haben als Ursprungsport eine zufällige Portnummer. Es wird empfohlen, einen lokalen Port zu verwenden und spezifische Protokolle (wie RDP (3389) oder HTTP (80)-Datenverkehr) zur „Erlauben“-Liste hinzuzufügen.

Um beispielsweise RDP-Verbindungen vom Administrator-Computer von 10.10.10.15 zu anderen Computern zu ermöglichen, verwenden Sie die folgenden Einstellungen:

  • Richtung: Eingehende Verbindungen
  • Lokaler Port: 3389
  • Remote-Port: Lassen Sie das Feld leer
  • Remote-Adresse: 10.10.10.15